一、测试环境:
1.公司只有一个公网IP地址66.66.66.66/24
二、需要实现的功能
同时满足以下3点:
1.外网可以访问内网服务区(DMZ);
2.内网服务区(DMZ)无法访问外网;
3.内网办公区可以访问外网和内网服务区(DMZ)。
三、网络拓扑图
四、配置思路
注释:R:公司路由、ISP:电信路由、R3外网路由
1.配置PC、路由器接口IP地址;
具体配置见代码段
2.配置静态路由;
[R]ip route-sta 0.0.0.0 0 66.66.66.1
[R3]ip route-sta 0.0.0.0 0 11.12.13.1
不要配置私网路由,如果配置公网到私网的路由,会引起IP地址冲突,NAT也是去意义,因为互联网中有太多重复的私网IP地址,如,在此网络拓扑图中,就有两个192.168.88.0/24地址段。
3.配置Easy IP模式NAT转换(内网192.168.88.0/24网段映射到路由器R的GE0/0/0接口IP地址);
[R]acl number 2000
[R-acl-basic-2000]rule 5 permit source 192.168.88.0 0.0.0.255\\允许192.168.88.0/24内网网段通行
[interface GigabitEthernet0/0/0]nat outbound 2000\\允许192.168.88.0/24内网网段访问外网
4.配置NAT服务器(内网web、ftp服务器给外网提供服务);
nat server protocol tcp global current-interface 6688 inside 192.168.1.254 www
\\配置web服务器静态映射,内网web服务器IP地址192.168.1.254端口80映射到当前公网端口IP地址和6688端口
[R]nat alg ftp enable \\开启alg ftp服务
注释:FTP协议是一个典型的多通道协议,需要配置NAT ALG功能,实现报文正常穿越NAT,而HTTP协议不需要。
[R-GigabitEthernet0/0/0]nat server protocol tcp global current-interface 2121 inside 192.168.1.253 21\\配置ftp服务器静态映射,内网ftp服务器IP地址192.168.1.253端口21映射到当前公网端口IP地址和2121端口
\\[R-GigabitEthernet0/0/0]nat server protocol tcp global 66.66.66.2 6688 inside 192.168.1.254 www\\这样映射需要再增加一个公网IP地址
五、终端配置和代码
其他终端配置借鉴以上截图
\\公司路由器R
sys
sysname R
nat alg ftp enable
acl 2000
rule 5 permit ip source 192.168.88.0 0.0.0.255\\允许192.168.88.0/24内网网段通行
\\rule 6 permit ip source 192.168.1.0 0.0.0.255\\允许192.168.1.0/24内网网段通行
int gi 0/0/0
ip add 66.66.66.66 24
nat outbound 2000\\允许192.168.88.0/24内网网段访问外网
nat server protocol tcp global current-interface 6688 inside 192.168.1.254 www
\\配置web服务器静态映射,内网web服务器IP地址192.168.1.254端口80映射到当前公网端口IP地址和6688端口
nat server protocol tcp global current-interface 2121 inside 192.168.1.253 21
\\配置ftp服务器静态映射,内网ftp服务器IP地址192.168.1.253端口21映射到当前公网端口IP地址和2121端口
\\nat server protocol tcp global 66.66.66.2 6688 inside 192.168.1.254 www\\这样映射需要另外一个公网地址
int gi 0/0/1
ip add 192.168.1.1 24
int gi 0/0/2
ip add 192.168.88.1 24
ip route-sta 0.0.0.0 0 66.66.66.1
\\电信路由器ISP
sys
sysname ISP
int gi 0/0/0
ip add 66.66.66.1 24
int gi 0/0/1
ip add 192.168.88.1 24
int gi 0/0/2
ip add 11.12.13.1 24
\\外网路由器R3
sys
sysname R3
acl 3000
rule 7 permit ip source 192.168.88.0 0.0.0.255\\允许192.168.88.0/24内网网段通行
int gi 0/0/0
ip add 11.12.13.2 24
ip route-sta 0.0.0.0 0 11.12.13.1
nat outbound 3000\\允许192.168.88.0/24内网网段访问外网
int gi 0/0/1
ip add 192.168.88.1 24
六、验证测试
1.外网访问内网服务器
2. 内网服务区(DMZ)访问不了外网
3.内网办公区可以访问外网和内网服务区
4.公网设备无法访问私网IP地址
转载:文章来源:https://www.toymoban.com/news/detail-648916.html
华为AR配置内部服务器示例(只有1个公网IP)参考链接:https://www.cnblogs.com/airoot/p/10650775.html文章来源地址https://www.toymoban.com/news/detail-648916.html
到了这里,关于只有1个公网IP地址---设置内网服务器 +++ 华为路由器:外网可以访问内网服务区---内网服务区访问不了外网---内网办公区可以访问外网和内网服务区(只有1个公网IP地址)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!